»

IBM lansiral storitev za preizkus polnega homomorfnega šifriranja

ZDNet - Konec prejšnjega leta so v IBMu strankam naposled lahko ponudili javen preizkus njihove metode polne homomorfne enkripcije - načina šifriranja, pri katerem je mogoče nad šifriranimi podatki izvajati operacije, ne da bi jih dešifrirali. Po desetletju razvoja tako prihajamo do stopnje, ko pristop postaja praktično uporaben.

Razmah storitev v oblaku je močno izpostavil eno temeljnih tegob ravnanja s šifriranimi podatki: pred uporabo jih je potrebno dešifrirati, kar seveda pomeni zelo ranljiv člen v procesu rokovanja s posameznikovo zasebnostjo, ko lahko njegova data odteče v neželene smeri. Že v sedemdesetih letih prejšnjega stoletja so se pričeli strokovnjaki ukvarjati z idejo, da bi bilo morda mogoče vsaj nekatere detajle iz podatkov izvleči, ne da bi jih dešifrirali, toda šele leta 2009 je kriptolog Craig Gentry dejansko pokazal, da je to sploh zares mogoče. Prijem imenujemo homomorfna enkripcija, kar izvira iz matematične ekvivalence med dvema algebraičnima operacijama nad dvema...

28 komentarjev

Zoom uporabnikom brezplačne verzije ne bo ponudil pravega šifriranja

Slo-Tech - Zoom je sprva trdil, da ima urejeno šifriranje od pošiljatelja do prejemnika (end-to-end), a smo kasneje izvedeli, da ga v resnici šele pripravlja. V obstoječi verziji ima namreč tudi Zoom ključe, zato bi lahko teoretično prisluškovali pogovorom, kar bi razveselilo zlasti organe pregona. In to bo tudi glavni razlog, da bo za uporabnike brezplačne verzije tako tudi ostalo.

Izvršni direktor Eric Yuan je potrdil, da bo pravo šifriranje na voljo le naročnikom plačljive verzije. Brezplačnim uporabnikom ga ne bodo ponudili, da bo podjetje laže sodelovalo s policijo v primeru zlorab aplikacije. Z drugimi besedami: Zoom bo imel tehnično možnost predati vsebino komunikacije. To odpira stare debate o primernosti šifriranja end-to-end, kjer prestrezanje prometa niti teoretično ni mogoče. Tako organi pregona sodnih odredb o prisluškovanju ne morejo izvesti, ker to tehnično ni možno. Rešitev te zagate je seveda bodisi namerna ošibitev šifrirnih algoritmov bodisi ukinitev šifriranja end-to-end,...

6 komentarjev

Zoom kupil Keybase in bo šele sedaj dobil pravo šifriranje

Slo-Tech - Iz Zooma, priljubljene aplikacije za videoklice in videokonference, ki jo je trenutna pandemija izstrelila med zvezde, so sporočili, da kupujejo podjetje Keybase. Posebej ob utemeljitvi te novice pa pozorni bralci dosedanjih novic malce zastrižejo z ušesi, saj Zoom trdi, da bodo s tem omogočili šifriranje od pošiljatelja do prejemnika (end-to-end). To je dobrodošla praksa na področju zasebnosti. Problem je, da je Zoom v preteklosti že oglaševal, kot da jo ima, čeprav je podrobna analiza že tedaj kazala, da izvedba ni takšna, kot si jo pod izrazom end-to-end običajno predstavljamo.

Kot pojasnjujejo sedaj, so komunikacija med odjemalci šifrirana na vsaki napravi in se potem odšifrira pri prejemniku. Toda ključi (256-bitni AES-GCM) se ustvarijo na Zoomovih strežnikih, zato tehnično tako šifriranje ni varno, ker lahko Zoom prisluškuje. Ob tem dodajajo, da bo za nekatere storitve še vedno nujno, da bodo ključi dostopni v oblaku (npr. za klicanje na telefon). V prihodnosti bodo...

25 komentarjev

Nadaljnje ranljivosti v Zoomu

The Inercept - Velika priljubljenost sistema za videokonference Zoom se nadaljuje seciranje tega programa, ki je doslej odkrilo že precej ranljivosti. Nadaljnji pregledi kažejo, da ima program še več varnostnih pomanjkljivosti, zaradi česar strokovnjaki odsvetujejo njeno uporabo pri komuniciranju skrivnosti. Ranljivosti se zavedajo tudi pisci, ki so sporočili, da bodo prekinili razvoj novih funkcij in se osredotočili na krpanje lukenj.

The Intercept razkriva, da ima Zoom tudi povezave s Kitajsko. V nekaterih primerih se lahko zgodi, četudi so vsi uporabniki iz Evrope ali Severne Amerike, da promet preusmeri prek kitajskih strežnikov. Čeprav v dokumentaciji piše, da Zoom uporablja šifrirni algoritem AES-256, gre v resnici za AES-128 v načinu ECB, ki ga varnostni strokovnjaki ne priporočajo (ker v šifrirani vsebini ostajajo razločljivi vzorci). Zoom ključe generira na posebnih strežnikih (key management systems), ki so lahko tudi na Kitajskem. Namesto standardnih protokolov za pošiljanje videa in...

137 komentarjev

Microsoft odpravil hrošča, Zoom ima luknjo

Slo-Tech - Zadnji dnevi so spričo intenzivne uporabe mobilnih poti za delo, zabavo in druženje razkrili tudi nekatere ranljivosti v programski opremi, ki bi sicer dlje ostale neznane. Microsoft je tako danes izdal izredni popravek za Windows 10, ki je odpravil težave s povezljivostjo z oblakom za Office 365, če so naprave uporabljale posredniški strežnik (proxy) ali povezavo v navidezno zasebno omrežje (VPN). Microsoft je o ranljivosti obvestil minuli teden in ni čakal na drugi torek v mesecu, ko je na sporedu redni mesečni paket popravkov, temveč ga je ponudil že sedaj. Posodobitev pa je treba trenutno namestiti ročno, saj jo Microsoft priporoča le tistim, ki imajo dejansko težave. Medtem pa uporabniki že poročajo o različnih težavah, ki jih prinese namestitev popravka.

Poleg hroščev pa so tu še ranljivosti. Priljubljena aplikacija za spletne videokonference Zoom, ki ima tudi pri nas sedaj veliko uporabnikov, ni tako varna, kot se predstavlja. Čeprav se oglašujejo kot platforma, ki ponuja...

15 komentarjev

Lavabit je nazaj

Slo-Tech - Varni elektronski predal Lavabit je nehal delovati avgusta 2013, ker so ameriške oblasti od podjetja izsilile šifrirne ključe, zato je ustanovitelj Ladar Levison stran zaprl, da ne bi razočaral svojih strank. Šele lani smo dobili dokaz, da so bili sumi o povezavi preiskave strani s Snowdnom utemeljeni. Ravno na inavguracijski dan novega ameriškega predsednika je Ladar Levison simbolično zagnal novo generacijo Lavabita, ki je še varnejša od predhodnika.

Levison je leta 2013 stran le ugasnil, ni pa pobrisal vseh podatkov. Zato je sedaj Lavabit nazaj za stare uporabnike. Vseh 410.000 starih uporabnikov si lahko preprosto aktivira račune, vsakdo pa si bo v prihodnosti (ne še takoj) lahko ustvaril novega. Prav tako za zdaj še ni jasno, ali bodo uporabniki dobili...

8 komentarjev

Open Whisper Systems razkril podatke iz tajne sodne odredbe

Podatki, ki jih ima OWS o uporabnikih

vir: Ars Technica
Ars Technica - Signal, ki ga razvija podjetje Open Whisper Systems velja za eno najbolj uporabnih aplikacij za varno komuniciranje preko mobilnih telefonov. Na voljo je tako za Android, kot tudi iOS (in trenutno še kot namizna (Google Chrome) aplikacija), omogoča pa močno šifriranje sporočil in pogovorov.

Podjetje Open Whisper Systems oziroma njegovi ustanovitelji so namreč pred časom razvili šifrirni protokol Signal, ki ga poleg aplikacije Signal uporabljajo tudi nekatere druge aplikacije za varno komunikacijo, med drugim tudi WhatsApp, Alo, Facebook Messenger in (deloma) Viber.

Čeprav navedene aplikacije uporabljajo isti kriptografski protokol, Signal velja za najbolj varno in najbolj enostavno aplikacijo, ki hrani kar najmanj podatkov o svojih uporabnikih.

Ker aplikacija uporablja šifriranje med končnimi točkami (tim. end-to-end šifriranje) in ker beleži le minimalno...

17 komentarjev

Šifrirani telefonski pogovori za Android platformo

Moxie Marlinspike

Slo-Tech - Kot kaže, se na področju (mobilne) telefonije in zasebnosti obetajo velike spremembe. Tradicionalno je veljalo, da je šifriranje široko dostopno le za računalnike, uporaba kvalitetnega šifriranja v telefoniji pa je bila povezana s številnimi težavami in visokimi stroški. Telefonija je pač bistveno bolj zaprta tehnologija.

A s prihodom pametnih mobilnih telefonov, zlasti pa s prihodom odprte Android platforme, se je to pričelo spreminjati. In ta teden se je zgodil prvi konkretnejši premik k uporabi varnega šifriranja telefonskih pogovorov. Varnostni strokovnjak Moxie Marlinspike (znan tudi...

48 komentarjev

Izšel Incognito 2008.1

Incognito 2008.1

Slo-Tech - Pred časom osnovana skupina anonimnih razvijalcev in uporabnikov Tor omrežja je danes izdala Incognito 2008.1. Gre za tim. živi CD, ki omogoča enostavno uporabo Tor omrežja za anonimno brskanje po spletu, klepetanje in pisanje elektronske pošte, temelji pa na Gentoo Linuxu.

Incognito lahko zaženemo iz CD-ja ali v virtualnem stroju (npr. VmWare, QEMU, VirtualBox,..), lahko pa ga tudi skopiramo na USB ključ na katerega nato lahko shranimo lastne nastavitve (npr. za e-pošto). Za kopiranje na USB ključ lahko uporabimo vgrajeno orodje, ki poskrbi za izdelavo zagonskega USB-ja, ustvarjanje kriptiranega domačega (/home) razdelka, sam korenski imenik pa je priklopljen samo za branje.

Incognito...

22 komentarjev

Hushmail ameriškim pravosodnim organom izročil šifrirne ključe uporabnika

Wired Blog - Spletni dostop do elektronske pošte ima veliko prednost - dostopnost iz kateregakoli računalnika s povezavo v splet in spletnim brskalnikom. Žal pa ima tudi veliko slabost - s pomočjo napada s posrednikom (man-in-the-middle) ali v primeru vdora v strežnik na katerem je shranjena elektronska pošta, lahko pride do kršitve tajnosti elektronske pošte.

Leta 1999 pa se je pojavil spletni ponudnik elektronske pošte, ki naj bi ponudil rešitev tudi za to tržno nišo. Gre za kanadsko podjetje Hushmail, ki omogoča pošiljanje PGP/GPG šifrirane elektronske pošte preko spletnega vmesnika.

Hushmail namreč uporablja Java applet, ki omogoča šifriranje in dešifriranje na strani odjemalca. S tem na strežnik "prispejo" že šifrirani podatki, kar pomeni, da vdor ali vpogled v uporabniški predal ne razkrije vsebine e-pošte.

Vendar pa je nalaganje Java appleta razmeroma moteče, zato so pri Hushmailu leta 2006 ponudili možnost, da uporabniki uporabljajo šifriranje in dešifriranje na strežniški strani. S...

7 komentarjev